Amenda GDPR de 7.000 de euro pentru o asociatie de proprietari
O asociatie de proprietari din Bucuresti a fost amendata cu 7.000 de euro dupa ce a incalcat prevederile Regulamentului General privind Protectia Datelor (RGPD).
Autoritatea Nationala de Supraveghere anunta, intr-un comunicat, ca Asociatia de Proprietari Aviatiei Park a fost amendata pentru ca, printr-o firma de paza cu care a incheiat contract, a prelucrat in mod excesiv datele cu caracter personal (nume, prenume, seria si nr. actului de identitate, destinatia, ora sosirii, ora plecarii, observatii) ale livratorilor si/sau curierilor in calitate de persoane vizate, fara un temei legal justificat raportat la scopul prelucrarii.
Comunicatul ANSPDC
Autoritatea Nationala de Supraveghere a finalizat, in data de 27.05.2022, o investigatie la operatorul Asociatia de Proprietari Aviatiei Park, in urma careia s-a constatat incalcarea prevederilor Regulamentului General privind Protectia Datelor (RGPD), operatorul fiind sanctionat contraventional cu amenda astfel:
- amenda in cuantum de 9.885,80 lei, echivalentul a 2000 EURO pentru incalcarea prevederilor art. 5 alin. (1) lit. a) si c) si alin. (2) prin raportare la art. 6 din RGPD, intrucat operatorul a prelucrat in mod excesiv datele cu caracter personal (nume, prenume, seria si nr. actului de identitate, destinatia, ora sosirii, ora plecarii, observatii) ale livratorilor si/sau curierilor in calitate de persoane vizate, fara un temei legal justificat raportat la scopul prelucrarii (controlul accesului in complexul rezidential) si fara sa prezinte dovezi ca asigura informarea corecta si completa a persoanelor vizate, precum si ca datele prelucrate sunt adecvate, relevante si limitate la ceea ce este necesar in raport cu scopul prelucrarii;
- amenda in cuantum de 24.714,50 lei, echivalentul a 5000 EURO pentru incalcarea prevederilor art. 5 alin. (1) lit. e) si alin. (2) din RGPD, deoarece operatorul nu a stabilit o perioada de stocare a datelor cu caracter personal prelucrate prin intermediul sistemului de supraveghere video (imaginile) si le-a stocat pe o perioada mai mare decat cea necesara indeplinirii scopului in care sunt prelucrate, respectiv controlul accesului in condominiu, desi avea obligatia de a pastra imaginile intr-o forma care sa permita identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele.
Totodata, in temeiul art. 58 alin. (2) lit. d) din RGPD, s-au dispus fata de operator urmatoarele masuri corective:
Revizuirea si actualizarea masurilor tehnice si organizatorice implementate ca urmare a evaluarii privind riscul pentru drepturile si libertatile persoanelor, inclusiv a procedurilor referitoare la protectia datelor cu caracter personal si stabilirea unor termene privind pastrarea datelor intr-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele.
Evaluarea prelucrarilor efectuate tinand cont de principiul proportionalitatii si reducerii la minimum a datelor raportat la scopul si temeiul legal al prelucrarii si implementarea masurilor necesare in vederea respectarii principiilor legate de prelucrarea datelor cu caracter personal prevazute de art. 5 din RGPD.
Investigatia a fost demarata ca urmare a unei sesizari, prin care se semnala o posibila incalcare a dispozitiilor RGPD, intrucat reprezentantii societatii de paza colectau si prelucrau datele cu caracter personal in scopul accesului persoanelor la intrarea in complexul rezidential, sens in care solicitau o serie de date persoanelor care intrau in complex si le notau intr-un registru intern.
Din investigatie a rezultat ca prelucrarea datelor in scopul accesului in complexul rezidential se realiza conform unui contract de prestari-servicii de paza incheiat intre asociatia de proprietari (operatorul) si societatea de paza (imputernicitul), prin care asociatia a mandatat societatea de paza sa asigure paza si protectia obiectivului prin agenti de paza si sa completeze registrul de evidenta a accesului persoanelor.
In acest sens, operatorul a emis pentru imputernicit instructiunea conform careia agentii care efectueaza serviciile de paza completeaza Registrul de Evidenta Acces Persoane cu datele personale mentionate in rubricile acestuia, respectiv nume, prenume, seria si nr. actului de identitate, destinatia, ora sosirii, ora plecarii, observatii, exclusiv pentru serviciile de livrari si/sau curierat.
Totodata, in cadrul investigatiei s-a constatat faptul ca la nivelul complexului rezidential controlul accesului se realiza si prin intermediul sistemului de supraveghere video, iar Asociatia de proprietari nu a putut face dovada respectarii principiului limitarii legate de stocare, statuat de art. 5 alin. (1) lit. e) din RGPD, respectiv stabilirea de termene adecvate de stocare a imaginilor, constatandu-se existenta de imagini stocate cu o vechime de aproximativ un an si jumatate.
In acest context, subliniem faptul ca potrivit art. 4 pct. 7 din RGPD operatorul stabileste scopul si mijloacele de prelucrare, iar conform art. 28 alin. (3) lit. a) din RGPD imputernicitul prelucreaza datele numai pe baza unor instructiuni documentate din partea operatorului.
De asemenea, reamintim faptul ca potrivit art. 5 din RGPD, operatorul trebuie sa respecte principiile de prelucrare a datelor, printre care cele privind legalitatea, echitatea si transparenta , reducerea la minimum a datelor si limitarea legata de stocare . In acelasi timp, operatorul este responsabil de respectarea principiilor si trebuie sa demonstreze aceasta respectare ( principiul responsabilitatii ).
Autoritatea Nationala de Supraveghere anunta, intr-un comunicat, ca Asociatia de Proprietari Aviatiei Park a fost amendata pentru ca, printr-o firma de paza cu care a incheiat contract, a prelucrat in mod excesiv datele cu caracter personal (nume, prenume, seria si nr. actului de identitate, destinatia, ora sosirii, ora plecarii, observatii) ale livratorilor si/sau curierilor in calitate de persoane vizate, fara un temei legal justificat raportat la scopul prelucrarii.
Comunicatul ANSPDC
Autoritatea Nationala de Supraveghere a finalizat, in data de 27.05.2022, o investigatie la operatorul Asociatia de Proprietari Aviatiei Park, in urma careia s-a constatat incalcarea prevederilor Regulamentului General privind Protectia Datelor (RGPD), operatorul fiind sanctionat contraventional cu amenda astfel:
- amenda in cuantum de 9.885,80 lei, echivalentul a 2000 EURO pentru incalcarea prevederilor art. 5 alin. (1) lit. a) si c) si alin. (2) prin raportare la art. 6 din RGPD, intrucat operatorul a prelucrat in mod excesiv datele cu caracter personal (nume, prenume, seria si nr. actului de identitate, destinatia, ora sosirii, ora plecarii, observatii) ale livratorilor si/sau curierilor in calitate de persoane vizate, fara un temei legal justificat raportat la scopul prelucrarii (controlul accesului in complexul rezidential) si fara sa prezinte dovezi ca asigura informarea corecta si completa a persoanelor vizate, precum si ca datele prelucrate sunt adecvate, relevante si limitate la ceea ce este necesar in raport cu scopul prelucrarii;
- amenda in cuantum de 24.714,50 lei, echivalentul a 5000 EURO pentru incalcarea prevederilor art. 5 alin. (1) lit. e) si alin. (2) din RGPD, deoarece operatorul nu a stabilit o perioada de stocare a datelor cu caracter personal prelucrate prin intermediul sistemului de supraveghere video (imaginile) si le-a stocat pe o perioada mai mare decat cea necesara indeplinirii scopului in care sunt prelucrate, respectiv controlul accesului in condominiu, desi avea obligatia de a pastra imaginile intr-o forma care sa permita identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele.
Totodata, in temeiul art. 58 alin. (2) lit. d) din RGPD, s-au dispus fata de operator urmatoarele masuri corective:
Revizuirea si actualizarea masurilor tehnice si organizatorice implementate ca urmare a evaluarii privind riscul pentru drepturile si libertatile persoanelor, inclusiv a procedurilor referitoare la protectia datelor cu caracter personal si stabilirea unor termene privind pastrarea datelor intr-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele.
Evaluarea prelucrarilor efectuate tinand cont de principiul proportionalitatii si reducerii la minimum a datelor raportat la scopul si temeiul legal al prelucrarii si implementarea masurilor necesare in vederea respectarii principiilor legate de prelucrarea datelor cu caracter personal prevazute de art. 5 din RGPD.
Investigatia a fost demarata ca urmare a unei sesizari, prin care se semnala o posibila incalcare a dispozitiilor RGPD, intrucat reprezentantii societatii de paza colectau si prelucrau datele cu caracter personal in scopul accesului persoanelor la intrarea in complexul rezidential, sens in care solicitau o serie de date persoanelor care intrau in complex si le notau intr-un registru intern.
Din investigatie a rezultat ca prelucrarea datelor in scopul accesului in complexul rezidential se realiza conform unui contract de prestari-servicii de paza incheiat intre asociatia de proprietari (operatorul) si societatea de paza (imputernicitul), prin care asociatia a mandatat societatea de paza sa asigure paza si protectia obiectivului prin agenti de paza si sa completeze registrul de evidenta a accesului persoanelor.
In acest sens, operatorul a emis pentru imputernicit instructiunea conform careia agentii care efectueaza serviciile de paza completeaza Registrul de Evidenta Acces Persoane cu datele personale mentionate in rubricile acestuia, respectiv nume, prenume, seria si nr. actului de identitate, destinatia, ora sosirii, ora plecarii, observatii, exclusiv pentru serviciile de livrari si/sau curierat.
Totodata, in cadrul investigatiei s-a constatat faptul ca la nivelul complexului rezidential controlul accesului se realiza si prin intermediul sistemului de supraveghere video, iar Asociatia de proprietari nu a putut face dovada respectarii principiului limitarii legate de stocare, statuat de art. 5 alin. (1) lit. e) din RGPD, respectiv stabilirea de termene adecvate de stocare a imaginilor, constatandu-se existenta de imagini stocate cu o vechime de aproximativ un an si jumatate.
In acest context, subliniem faptul ca potrivit art. 4 pct. 7 din RGPD operatorul stabileste scopul si mijloacele de prelucrare, iar conform art. 28 alin. (3) lit. a) din RGPD imputernicitul prelucreaza datele numai pe baza unor instructiuni documentate din partea operatorului.
De asemenea, reamintim faptul ca potrivit art. 5 din RGPD, operatorul trebuie sa respecte principiile de prelucrare a datelor, printre care cele privind legalitatea, echitatea si transparenta , reducerea la minimum a datelor si limitarea legata de stocare . In acelasi timp, operatorul este responsabil de respectarea principiilor si trebuie sa demonstreze aceasta respectare ( principiul responsabilitatii ).
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!